---

前言

长期以来，传统工业系统的设备专有性与天然隔离性使得人们忽视了信息安全隐患的存在，管理者与工程师们往往将安全关注的焦点和资金预算都投放在设备安全和生产安全方面，预防发生工业事故造成人员、财产、或环境损失。然而，信息技术的发展已经打破了传统的“物理隔离神话”，为确保能源和关键性基础设施行业控制系统的安全稳定运行，研究工业网络安全的关键问题，建立有针对性的安全防护体系已经迫在眉睫。

---

一、标准要求

所有电力系统的归口单位为国家能源局，网络安全相关要求都遵循以下要求：

• 电监会第5号令《电力二次系统安全防护规定》
• 电监会34号文《电力二次系统安全防护总体方案》
• 国家发改委发布14号文《电力监控系统安全防护规定》
• 电监信息〔2007〕34号《关于开展电力行业信息系统安全等级保护定级工作的通知》
• 国能36号文¹《电力监控系统安全防护总体方案等安全防护方案和评估规范》

二、解决方案

1.核心原则

核心思想原则：安全分区、网络专用、横向隔离、纵向认证

安全分区：分为生产控制大区与管理信息大区，生产控制大区又分为控制区与非控制区，称为安全Ⅰ区(控制区)和安全Ⅱ区(非控制区)²。管理信息大区也可根据自身单位情况继续划分安全区。

网络专用：电力调度数据网应当在专用通道商使用独立的网络设备组网，在物理层面实现与电力企业其他数据网及外部公共信息网的安全隔离。

横向隔离：生产控制大区与管理信息大区之间必须使用经过指定部门检测的电力专用横向单向安全隔离装置，安全Ⅰ区与安全Ⅱ区之间应当进行逻辑隔离，如防火墙，可做访问控制的物理设备。

纵向加密：生产控制大区与调度数据网的纵向连接处应当设置经过国家制定部门检测认证的电力专用纵向加密认证装置。

2.合规解决方案

生产控制大区与管理信息大区之间通信部署电力专用横向单向安全隔离装置。

控制区（安全Ⅰ区）与非控制区（安全Ⅱ区）边界应当采用访问控制的网络设备、硬件防火墙设备，实现逻辑隔离、报文过滤、访问控制。

建议生产控制大区与管理信息大区之间根据数据访问的方向部署正向安全隔离装置或者反向安全隔离装置。

根据政策要求要求：边界统一部署一套网络入侵检测系统, 应当合理设置检测规则, 检测发现隐藏于流经网络边界正常信息流中的入侵行为, 分析潜在威胁并进行安全审计。
入侵检测系统为旁路部署仅接受并分析交换机镜像过来的数据，不参与数据的转发工作。

根据政策要求要求：生产控制大区的监控系统应当具备安全审计功能(通过部署日志审计+网络审计满足), 能够对操作系统、数据库、业务应用的重要操作进行记录、分析, 及时发现各种违规行为以及病毒和黑客的攻击行为。对于用户登录到系统中的操作行为, 应该进行严格的安全审计。对网络运行日志、操作系统运行日志、数据库访问日志、业务应用系统运行日志、安全设施运行日志等进行集中收集、自动分析。

---

1. 36号文各个附件涵盖省级以上调度中心、地（县）级调度中心、发电厂、变电站、配电监控系统的具体防护要求 ↩︎

2. 安全Ⅰ区和安全Ⅱ区的具体分区指南在36号文中也有所体现 ↩︎

工控网络安全分支-电力行业网络安全建设相关推荐

1. 工控安全之电力行业基础知识

   电力行业必学标准: <电力二次系统安全防护规定>(国家电力监管委员会令第5号),2004年发布 <电力二次系统安全防护总体方案>(电监安全[2006]34号) <电力行业 ...

2. 新势力 | 赛宁工控安全产品体系——护航工业网络安全

   世界已经全面进入数字化转型发展阶段,网络安全是数字化发展中不容忽视的一环.关键信息基础设施作为直接关系到国家安全.国计民生和公共利益的重要基础设施,其安全防护是国家网络安全工作的重中之重.而其中的重点 ...

3. 国产龙芯双核64位系统迅为2K开发板应用到工控轨道交通电力能源等领域

   龙芯 2k1000 采用 40nm 工艺,片内集成 2 个 GS264 处理器核,主频 1GHz,64 位 DDR3 控制器,以及各种系统 IO 接口. 龙芯 2K1000 主要特征  片内集成两个 ...

4. 工控网络安全防护分析与建议

   随着工业信息化的快速发展,工业化与信息化的融合越来越深入,两者的融合能提高生产效率.提高生产安全性.降低生产成本.工控系统很多采用了传统网络中的通信协议和软硬件系统,或以特定的方式直接连接到传统的网络 ...

5. 赛宁网安工控靶场入选江苏省工业软件优秀产品推广名单

   ​​近日,2021年度江苏省工业软件优秀产品和应用解决方案拟推广名单正式公布,赛宁网安"工控系统网络安全靶场"产品经过层层选拔成功入围,推荐等级荣获最高级别三星标准! 江苏省工业和 ...

6. 等级保护测评对哪些行业是硬性要求？相关标准规范主要有哪些？│电力行业篇

   哪些行业必须做等保测评? <中华人民共和国网络安全法>[第三十一条] 国家对公共通信和信息服务.能源.交通.水利.金融.公共服务.电子政务等重要行业和领域,以及其他一旦遭到破坏.丧失功能或 ...

7. MITRE 发布工控系统的 ATTCK 框架

   聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码卫士团队 本周二,MITRE宣布发布第一版 ATT&CK 知识库,涵盖恶意行动者在攻击工业控制系统时使用的战术和技术. MITRE 的AT ...

8. 电力行业设备远程监控及预警系统

   随着我国经济的快速增长,推动了国网电力行业的建设和发展.日常生活和企业工厂生产都已离不开电力系统,电力系统在当今阶段占有举足轻重的地位.如何有效维护.推动电力系统的安全稳定高效运行,已经成为国网电力行 ...

9. 全球电力行业十大网络安全攻击事件

   随着电力行业对网络的依赖程度越来越高,网络攻击对企业的安全运营造成巨大的威胁.电力系统与现代社会生产生活紧密相连,一旦出现断电,后果将不堪设想.对电力行业的攻击类型分为勒索病毒.DDoS攻击.APT攻 ...

10. 行业案例 | 全面防护 赛宁助力能源工控安全建设

    ​​随着我国对网络安全领域的重视程度提高,旨在"以赛备战""以攻促防"的网络安全技能大赛.攻防演练在全国各地多点开花,成为培养网络安全人才,加强企业人才队伍建设 ...

最新文章

1. 计算机系统的发展史、基本组成、工作原理
2. 【Nutch2.2.1基础教程之1】nutch相关异常
3. 2017蓝桥杯省赛---java---A---2(9数算式)
4. 表单-图片浏览上传-单选框（二）
5. 《JAVA与模式》之装修者模式
6. MySQL 处理海量数据时一些优化查询速度方法
7. CentOS linux修改主机名
8. Qt5.12下载和安装教程（图文详解，简单易上手）
9. Hibernate组件作为Map索引（四）
10. 计算机学的打字是五笔,学会电脑五笔打字的方法
11. python二元一次方程组用鸡兔同笼的思路来写编程_《应用二元一次方程组——鸡兔同笼》...
12. Tableau 南丁格尔玫瑰图
13. 多视图聚类方向：子空间学习
14. 无线局域网安全（一）———WEP加密
15. 设置deepin国内源
16. 使用Python3采集小说网站
17. java获取b站动态列表地址,java获取B站弹幕文件的两种方案
18. 思考 |《爱好》—— 我真的做到了！
19. 北邮计算机学院国家示范,北京邮电大学获批2020年国家自然科学基金81项
20. 人工智能数学基础：利用导数判断函数单调性、凹凸性、极值、最值和描绘函数图形

热门文章

1. ubuntu搜狗输入法下载
2. Emlog二次元acg博客主题模板—Grace
3. echarts 世界地图标点_echarts中国地图3D各个城市标点demo
4. 关于优化云成本，你应该知道的事
5. 架构师的“功夫在诗外”之二
6. 宾馆酒店客房管理系统java源码
7. 省市区mysql一张表下载_2016全国省市区数据库
8. 卷积神经网络的工作原理
9. 伪原创文章生成器-自媒体洗稿工具-关键词文章生成工具免费
10. Windows10 adb安装与环境变量配置